用户管理与分权

前提条件

进行操作前，请确保您已经注册了阿里云账号。如还未注册，请先完成账号注册。

背景信息

企业A的某个项目（Project-X）上云，购买了多种阿里云资源，例如：ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些云资源，由于每个员工的工作职责不同，需要的权限也不同。

企业A希望能够达到以下要求：

• 企业A不希望多员工共享同一个云账号，共享云账号可能导致密码或访问密钥泄露。

• 企业A希望能给员工创建独立账号（操作员账号）并独立分配权限，做到责权一致。

• 企业A希望用户账号只能在授权的前提下操作资源，所有用户账号的所有操作行为可审计。

• 企业A希望随时可以撤销用户账号身上的权限，也可以随时删除其创建的用户账号。

• 企业A不需要对用户账号进行独立的计量计费，所有发生的费用统一计入云账号账单。

解决方案

• 为云账号设置多因素认证，避免因云账号密码泄露导致风险。详情请参见绑定MFA。

• 为不同员工（应用系统）创建RAM用户，并按需设置登录密码或创建访问密钥。详情请参见创建RAM用户。

• 如果有多个员工的职责相同，建议创建用户组，并将用户添加到用户组。详情请参见创建RAM用户组。

• 为RAM用户或用户组添加一条或多条系统策略。详情请参见为RAM用户授权或为RAM用户组授权。如果需要更细粒度的授权，可以创建自定义策略并为RAM用户或用户组进行授权。详情请参见创建自定义权限策略。

• 为不需要权限的RAM用户或用户组移除权限。详情请参见为RAM用户移除权限或为RAM用户组移除权限。